信息安全管理规定完整版.pdf

信息安全管理规定

HENsystemofficeroom【HEN16H-HENS2AHENS8Q8-HENH1688】

信息安全管理制度

目录

1.安全管理制度要求

总则：为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务

能力，特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信

息安全进行管理，以确保网络与信息安全。

a)安全岗位管理制度；

b)系统操作权限管理；

c)安全培训制度；

d)用户管理制度；

e)新服务、新功能安全评估；

f)用户投诉举报处理；

g)信息发布审核、合法资质查验和公共信息巡查；

h)个人电子信息安全保护；

i)安全事件的监测、报告和应急处置制度；

j)现行法律、法规、规章、标准和行政审批文件。

2.机构要求

法律责任

3.人员安全管理

安全岗位管理制度

建立安全岗位管理制度，明确主办人、主要负责人、安全责任人的职责：岗位管理制

度应包括保密管理。

关键岗位人员

1.个人身份核查：2.个人履历的核查：

3.学历、学位、专业资质证明：

4.从事关键岗位所必须的能力

应与关键岗位人员签订保密协议。

安全培训

建立安全培训制度，定期对所有工作人员进行信息安全培训，提高全员的信息安

全意识，包括：

1.上岗前的培训；

2.安全制度及其修订后的培训；

3.法律、法规的发展保持同步的继续培训。

应严格规范人员离岗过程：

a)及时终止离岗员工的所有访问权限；

b)关键岗位人员须承诺调离后的保密义务后方可离开；

c)配合公安机关工作的人员变动应通报公安机关。

人员离岗

应严格规范人员离岗过程：

a)及时终止离岗员工的所有访问权限；

b)关键岗位人员须承诺调离后的保密义务后方可离开；

c)配合公安机关工作的人员变动应通报公安机关。

4.访问控制管理

访问管理制度

建立包括物理的和逻辑的系统访问权限管理制度。

权限分配

按以下原则根据人员职责分配不同的访问权限：

a)角色分离，如访问请求、访问授权、访问管理；

b)满足工作需要的最小权限；

c)未经明确允许，则一律禁止。

特殊权限限制和控制特殊访问权限的分配和使用：

a)标识出每个系统或程序的特殊权限；

b)按照“按需使用”、“一事一议”的原则分配特殊权限；

c)记录特殊权限的授权与使用过程；

d)特殊访问权限的分配需要管理层的批准。

注：特殊权限是系统超级用户、数据库管理等系统管理权限。

权限的检查

定期对访问权限进行检查，对特殊访问权限的授权情况应在更频繁的时间间隔内进行

检查，如发现不恰当的权限设置，应及时予以调整。

5网络与主机系统的安全

网络与主机系统的安全

应维护使用的网络与主机系统的安全，包括：

a)实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢

复措施；

b)实施7×24h网络入侵行为的预防、检测与响应措施；

c)适用时，对重要文件的完整性进行检测，并具备文件完整性受到破坏后的恢复

措施；

d)对系统的脆弱性进行评估，并采取适当的措施处理相关的风险。注：系统脆弱

性评估包括采用安全扫描、渗透测试等多种方式。

备份应建立备份策略，有足够的备份设施，确保必要的信息和软件在灾难或介质故障

时可以恢复。

网络基础服务（登录、消息发布等）应具备容灾能力。

安全审计

应记录用户活动、异常情况、故障和安全事件的日志。

审计日志内容应包括：

a)用户注册相关信息，包括：

1)用户唯一标识；

2)用户名称及修改记录；

3)身份信息，如姓名、证件类型、证件号码等；

4)注册时间、IP地址及端口号；

5)电子邮箱地址和于机号码；

6)用户备注信息；

7)用户其他信息。

b)群组、频道相关信息，包括：

1)创建时间、创建人、创